-
-
[原创]关于卸载COM的利用
-
发表于:
2018-10-18 01:53
8089
-
关于卸载COM的利用起始是通过这个于16年的帖子
http://www.freebuf.com/articles/system/116611.html
文中提到如何通过卸载COM突破UAC。
而后本人通过一系列测试发现,在卸载项上写入cmd命令,通过cmd命令添加自定义文件开机自启动,或者通过regedit命令添加写有RUN键注册表reg文件也能执行命令,主要效果在于突破安防软件添加开机自启动(包括现今依旧可以,关键在于该利用比较简单,兼容全系统)。
开机自启向来是一般木马核心点,故而这里存在很大安全隐患。
利用卸载com最关键起始exe需要是白文件,而文中介绍使用rundll32使系统受信无提示调用。其实直接使用白加黑也能达到效果。
其中问题,rundll32在系统下受信,可能现在在安防软件中不再受信。而白加黑需要有两个文件。故而还有一种方式。
该方式为伪装自身进程为explorer.exe(并非修改文件名为
explorer.exe,直接伪造自身进程就好 )。此法也能完美使用卸载COM执行需要的操作。并且好处是单文件。
在后来一些木马样本中,也发现过使用卸载COM进行一些操作的。
关于该COM的利用在WIN10大概8月份更新中似乎也有一些修复。不过其中依旧有可利用点。
在后面的研究中发现部分木马利用模拟点击方式去绕过。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-12-6 16:11
被ISSACASSI编辑
,原因:
